A Autoridade Nacional de Proteção de Dados (ANPD) aplicou a segunda penalidade administrativa por descumprimento da Lei Geral de Proteção de Dados (LGPD). A sanção foi destinada ao Instituto de Assistência Médica ao Servidor Público Estadual de São Paulo (Iamspe), ligado à Secretária de Gestão e Governo Digital do Estado de São Paulo, pela ausência de comunicação sobre ocorrência de incidente de segurança (Artigo 48 da LGPD) e pela existência de sistemas que não atendiam aos requisitos de segurança, aos padrões de boas práticas e de governança, e aos princípios gerais previstos na legislação e demais normas regulamentares (Artigo 49 da LGPD).
Além de advertência, a ANPD impôs duas medidas corretivas ao Instituto. A primeira determina ajustes no no comunicado sobre a ocorrência do incidente de segurança, publicado no site institucional da entidade. A segunda estabelece a necessidade de informar a efetividade do programa de conformidade em proteção de dados pessoais e objetivos desenvolvidos e implementados, de acordo com documentos apresentados na defesa administrativa.
Cristhian Groff, encarregado do tratamento de dados pessoais do Sistema OCB, considera que, a partir da penalidade aplicada, é possível apontar algumas conclusões importantes sobre os procedimentos adotados pela ANPD. “A decisão mostra, por exemplo, a importância da adoção de procedimentos internos que permitam rápida identificação, apuração, tratamento e comunicação de incidentes de segurança da informação. E também que as pessoas jurídicas de direito público não estão isentas de cumprir as regras estabelecidas na LGPD, nem estão fora do radar de fiscalização da ANPD”, afirmou.
Ainda segundo Groff, as comunicações de incidentes devem ser adequadas para contemplar, no mínimo, as informações solicitadas pela ANPD no Formulário de Comunicação de Incidentes de Segurança com Dados Pessoais (Confira matéria sobre o tema ANPD disponibiliza nova versão do formulário para comunicação de incidentes). “Além disso, os titulares de dados pessoais devem ser adequadamente informados acerca dos incidentes de segurança que possam acarretar risco ou dano relevante”, complementa. O encarregado lembrou também que as sanções foram aplicadas de acordo com o regulamento que estabelece a dosimetria das penalidades.
Para lembrar: A adequação das organizações privadas (empresas e cooperativas, por exemplo) e públicas que realizam tratamento de dados pessoais (ou seja, que utilizam dados de pessoas físicas – colaboradores, clientes, associados, prospects, dentre outros) à Lei Geral de Proteção de Dados Pessoais (LGPD) é indispensável. Para as cooperativas que ainda não se adequaram ou que adotaram medidas paliativas e ineficientes, os estímulos para que iniciem seus projetos de adequação aumentam a cada dia!
Gostou do tema? Nos acompanhe, continuaremos publicando conteúdos acerca das matérias que serão objeto de fiscalização e/ou punição pela ANPD para que as cooperativas possam monitorar as áreas internas que merecem maior atenção durante a estruturação e manutenção dos programas de conformidade.
